Exp7 網絡欺詐防範
阿新 • • 發佈:2018-05-05
tps 掃描 target 效果 證書 常用 為我 kali www. (4)運行SET工具,鍵入
(2)然後用
(3)鍵入
Exp7 網絡欺詐防範
20154305 齊帥
一、實踐內容
本實踐的目標理解常用網絡欺詐背後的原理,以提高防範意識,並提出具體防範方法。具體實踐有
(1)簡單應用SET工具建立冒名網站
(2)ettercap DNS_spoof
(3)結合應用兩種技術,用DNS_spoof、QR_code引導特定訪問到冒名網站。
二、實踐過程
1.SET工具建立冒名網站
(1)查詢80端口的使用情況
沒有結果就是最好的結果,說明沒有進程占用80.
上圖是我打開火狐瀏覽器之後顯示的結果,2234進程在占用,那就殺死它。
(2)修改監聽端口配置文件
如下圖:
將listen 改為80(我的本來就是80)
(3)然後開啟apache2服務
(4)運行SET工具,鍵入setoolkit
選擇y
(5)上圖選擇1,社會工程學攻擊
(6)上圖選擇2,網頁攻擊
(7)上圖選擇3,憑證收割攻擊
(8)上圖暫時先選擇了2,克隆其他網站攻擊(其實後面攻擊失敗了哈~)
此處需要輸入kali的ip地址,已經給了提示了,就是說靶機要訪問這個地址。
繼續之後會讓你輸入一個URL,就是你想要克隆的網站的地址,我當時輸入的是mail.qq.com,也就是說,別人訪問kali的地址會進入QQ郵箱的界面,騙取賬號地址。
但是,我失敗了,我當時以為是kali的問題,更換了一個kali,並且還用手機熱點搭建了一個局域網,註意此處的手機熱點給我後面造成了麻煩,後面介紹。
後來查到是因為QQ,百度什麽的已經禁止克隆啦~~~時代變了呀!
找到原因後我也懶得找其他網站了,就用了第一個,給了模板的網頁攻擊,當然3是留給大神自己做一個網頁的。
選了1以後會給你提供幾個模板,我選擇了谷歌的模板,當然沒有FQ正常是不能訪問谷歌的,有點傻。。。
(9)然後在靶機上輸入kali的IP地址,就會進入谷歌的登錄界面啦~!(註意此處是需要輸入IP地址的)
如上圖輸入一個賬號密碼點擊登錄,就會收到下面一個界面,當然如果谷歌沒有被屏蔽的話會進入正常的界面的
然後在kali端就會接受到靶機輸入的賬號密碼啦~是不是很神奇,其實也很危險呀,釣魚網站就是這樣?
註意上圖我輸入的賬戶和我得到的賬戶是不一樣的,那是在得到正確答案之前我失敗了好多次,只截圖了一個最後結果,但是效果是類似的啦~!
總結:其實此時只要有點常識的就不會傻傻的訪問一個裸著的IP地址的,而且還能訪問谷歌,明顯有問題,那麽下面的我們就對這個釣魚網站進行一下改裝,我用了兩種方法~
2.DNS欺騙與SET結合
(1)鍵入如下指令,將網卡設為混雜模式,可以得到局域網的所有信息,為後面的主機探索做準備
(2)然後用leafpad /etc/ettercap/etter.dns修改用來欺騙的DNS緩存表,加入下面兩項內容:
(3)鍵入ettercap -G,進入Ettercap的圖形界面,按照圖示選擇
(4)此時會選擇網卡,就默認的就可以啦!
(5)選擇掃面主機,掃描完畢後點擊主機列表
(6)如下圖選擇 dns_spoof 攻擊模塊
(7)在主機列表將網關地址添加到Target2,靶機IP地址添加到Target1,此處最好將kali網絡連接改成橋連模式哦,我的經驗~~
(8)一切設置好以後左上角Start開始嗅探,進行DNS欺騙,等待靶機上鉤
此處補充一下,在此處我遇到了好多問題,主要是欺騙不成功,靶機訪問谷歌的網址總是會顯示連接失敗,ping谷歌的域名顯示的是ping真正的IP,其實就是欺騙失敗了,期間我還更換了靶機,換了一臺IOS系統的,所以後邊的IP會變化,不過都無濟於事,最後找到了原因,是因為我的手機熱點的問題,可能是因為欺騙不了手機這個網關吧·我連了寢室的wifi,同樣的操作之後就成功了!!!就會得到下面的提示了,說明欺騙成功了
(9)靶機輸入www.google.com,就會被欺騙到kali的主機地址啦~又是熟悉的界面熟悉的操作啦,註意此處不會顯示IP而是會顯示谷歌的登錄地址哦,這樣的偽裝是不是很cool~
如下圖,靶機輸入賬號密碼後就會在kali得到賬號和密碼啦~!
3.二維碼和SET結合攻擊
在此處選擇攻擊方法的時候看到了一個二維碼攻擊,很感興趣就試了一下
(1)選擇8之後會讓你輸入任意一個URL,他會生成一個二維碼,此處當然不能任意輸入啦,需要輸入我們之前做好的欺騙地址,就是kali主機地址。
(2)enter之後會生成一個二維碼,此時我們將它拷貝到根目錄下面,如下
(3)在根目錄找到二維碼圖片並打開
(4)最後用你的“才幹”,欺騙別人掃你的二維碼並且讓他輸入賬號密碼,你就成功拿到啦~
下圖是我用自己的手機掃描二維碼得到的登錄界面,真的很逼真,如果不是我的手機沒有FQ我就信了
(5)如上 QR code欺騙成功!
三、基礎問題回答
(1)通常在什麽場景下容易受到DNS spoof攻擊
同一局域網下,公共的熱點容易受到DNS spoof攻擊,欺騙一下網關很容易的呀,隨便弄一個微博、百度雲啥的就等著賬號被盜吧;當然不在同一個局域網下也可以被攻擊,需要收集到公網地址啥的唄
(2)在日常生活工作中如何防範以上兩攻擊方法
這種攻擊就是趁我們不仔細不註意的時候進行攻擊的,需要我們提高安全意識,註意網頁的IP地址是不是真的,其實很難!!還有一種是通過IP訪問,但我覺得很不現實。DNS就是為了方便記憶呀。
可以通過https來解決問題的,https協議所要解決的就是服務器認證的問題,要防禦的就是有這樣的釣魚網站向用戶欺瞞真實身份,所以現在絕大多數具有POST功能的網站都采用了https協議,當我們訪問這樣的網站時,如果不能提供正確的數字證書,不能完成ssl握手協議,那該網站肯定不可信,這一點在實際生活中應該還是容易實現的。
四、實驗感想
實話講,這次的DNS欺騙感覺在寢室的局域網很好用呀,條件都能滿足,而且路由器自己可以隨便上,騙一騙豬頭室友很輕松的,不過娛樂歸娛樂,安全隱患還是很明顯的,我們在生活中也會經常這樣的欺騙攻擊,只要稍微不註意,就是上當受騙,釣魚郵件有很多。這次實驗讓我知道釣別人的魚是多麽簡單,更警醒了我自己註意這方便的威脅,其實現在的社會隱私本來就不剩多少啦,如果唯一的一些關系自己切身利益的東西再損失了那真的人生慘淡~~~
Exp7 網絡欺詐防範